1.加强计划,减少审计项目。内部审计部门的一个可能存在缺陷的地方在于完成一般内部审计项目需要多长时间。这种问题往往来自于冗余的审计步骤或者缺乏规范的报告撰写流程。通过开展业务之初良好的计划,可以在最大限度上减轻这些不良习惯带来的影响。而实际情况是,我们往往急于开始审计,结果匆匆制订了审计计划以便可以赶紧开始。但是根据不完善的计划来开展审计项目就像依照没有完成的地图出门旅行。没有切实可行的计划,你注定会在整个业务过程中走弯路和错路。我觉得有效计划的关键是:(1)确认关键运营目标;(2)确认可能阻碍实现这些目标的关键风险;(3)评估这些风险;(4)依据风险评估的结果确定审计目标;(5)记录测试与每一个目标相关的控制的有效性所必需的审计步骤。 2.就影响进行沟通。接受内部审计报告的人往往会对报告的长度、其中包含的没有意义的信息数量以及搜寻信息的难度感到恼火。作为审计人员,我们并不擅长简洁精练。我们喜欢告诉别人“如何制造一块手表”,而也许别人想知道的只是现在的时间。而且我们往往不喜欢使用图表,而实际上一幅图能抵得上上千字。重要的是,我们必须真正做到一针见血——沟通简洁有力,从而说服审计对象采取措施。 3.感同身受而不是幸灾乐祸。我们往往会因为在审计范围内发现的问题或者缺陷沾沾自喜。但如果站在被审计对象的角度换位思考,我们可能会有不同的体会。实际上我们会发现他们的目标与我们完全一致:有效地开展工作,提供高质量的服务或产品,服务至上,追求卓越。也许是环境损害了他们实现这一目标的能力。我一直觉得内部审计人员开展审计工作的过程中在感同身受方面还需要有所提高。当然,这并不意味着我们就不去通报发现的问题,但是我们绝对不应该通过贬低其他人的价值来让自己看起来更理想。 4.利用科学技术。我们应当认识到我们的资源是有限的,并且在未来几年里不太可能有大幅增长。但是利益相关者的期望却在不断提高。要使我们的工作更有成效,为组织增加更大的价值,一种做法就是利用科学技术——使用数据挖掘、分析工具和技术,利用审计管理系统软件来帮助记录我们的工作和计划,沟通工作的成果。这些工具可以让内部审计人员的工作能力直线上升。 5.加强行业/经营知识。根据我目前所了解到的情况,利益相关者往往对我们在开展运营、经营风险和战略风险的审计工作时不能完全理解经营业务感到忧虑。我们可以通过获得并展示对经营和所在行业的深入理解来提高审计的有效性以增强他们的信心。我们必须在组织内部不断学习,从而能够熟练地发现行业面对的关键风险和威胁。要实现这一目标,我们可以加入行业协会组织,阅读行业相关的出版物,开展网上学习研究,以及寻找其他途径来丰富我们的知识。同时,我们还要更好地了解行业所面对的各种事物。每一个内部审计人员都应该分析自身能从所在组织获得的各种信息,包括监管机构和投资者发布的信息(例如美国的10-K filings,即美国证监会对上市公司公告的要求)等公开的信息和公司/组织管理层可以接触到的资源。
